Thiệt hại trong ngành công nghiệp blockchain nửa đầu năm 2025
Trong nửa đầu năm 2025, ngành công nghiệp blockchain đã chịu thiệt hại hơn 2,37 tỷ USD do các sự cố an ninh, với lĩnh vực DeFi là bị ảnh hưởng nặng nề nhất. Các vụ lừa đảo nhắm vào người dùng cá nhân cũng gia tăng, nhờ vào sự phát triển của trí tuệ nhân tạo (AI) cho phép các kế hoạch trở nên tinh vi hơn.
Báo cáo An ninh Blockchain và AML
Theo báo cáo giữa năm “Báo cáo An ninh Blockchain và AML” của SlowMist, ngành công nghiệp blockchain đã ghi nhận khoảng 2,37 tỷ USD thiệt hại qua 121 sự cố an ninh trong nửa đầu năm 2025. Điều này đại diện cho mức tăng gần 66% về thiệt hại tài chính so với cùng kỳ năm 2024, mặc dù số lượng sự cố đã giảm.
Những lĩnh vực bị ảnh hưởng
DeFi tiếp tục là lĩnh vực bị nhắm đến nhiều nhất, chiếm 76,03% tổng số sự cố và khoảng 470 triệu USD thiệt hại. Tuy nhiên, các nền tảng CEX đã trải qua thiệt hại lên tới 1,883 tỷ USD từ chỉ 11 sự cố, cho thấy đây là những mục tiêu có giá trị cao cho kẻ tấn công.
Các nguyên nhân và chiến thuật lừa đảo
Các vụ xâm phạm tài khoản là nguyên nhân hàng đầu gây ra các sự cố an ninh, tiếp theo là các lỗ hổng hợp đồng thông minh. Ngoài các cuộc tấn công trực tiếp vào các dự án, báo cáo của SlowMist đã nêu bật một số chiến thuật lừa đảo nhắm vào người dùng cá nhân đã đặc trưng cho nửa đầu năm 2025:
Kẻ tấn công đang khai thác các tính năng mới của cơ chế ủy quyền hợp đồng EIP-7702 được giới thiệu cùng với bản nâng cấp Pectra của Ethereum. Vào ngày 24 tháng 5, một người dùng đã mất 146.551 USD sau khi trở thành nạn nhân của một cuộc tấn công lừa đảo lợi dụng tính năng ủy quyền EIP-7702 của MetaMask.
Cuộc lừa đảo, do nhóm Inferno Drainer thực hiện, đã lừa người dùng ủy quyền cho một hợp đồng trông hợp pháp, sau đó khai thác các phê duyệt token hàng loạt để rút tiền.
Sự phát triển của AI và các vụ lừa đảo mới
Sự phát triển nhanh chóng của AI sinh tạo đã mang đến một làn sóng mới của “các vụ lừa đảo dựa trên lòng tin.” Vào đầu năm 2025, một cuộc họp Zoom giả mạo sử dụng deepfake đã dẫn đến việc đánh cắp tất cả tài sản crypto của Mehdi Farooq, một đối tác tại Hypersphere Ventures, sau khi kẻ tấn công giả mạo các liên hệ quen biết và lừa anh ta tải xuống phần mềm độc hại.
Các trường hợp nổi bật khác bao gồm video do AI tạo ra của Elon Musk và các quan chức Singapore quảng bá các kế hoạch đầu tư giả mạo. Những vụ lừa đảo này đã lừa người dùng thực hiện mã độc từ clipboard của họ.
Các hình thức lừa đảo khác
Nạn nhân bị lừa qua các tài khoản X giả mạo giả danh các influencer crypto, sau đó được chuyển hướng đến các nhóm Telegram nơi các liên kết “Nhấn để xác minh” kích hoạt các lệnh PowerShell chứa trojan. Những cuộc tấn công này dẫn đến việc xâm phạm hoàn toàn thiết bị, cho phép các công cụ truy cập từ xa đánh cắp tệp ví, khóa riêng tư và thậm chí kiểm soát các tài khoản Telegram trên cả hệ thống Windows và macOS.
Ngụy trang dưới dạng “các công cụ bảo mật Web3” hoặc khai thác các cơ chế cập nhật tự động, những tiện ích mở rộng giả mạo này đã chiếm đoạt các liên kết tải xuống để cài đặt phần mềm độc hại và đánh cắp cụm từ ghi nhớ, khóa riêng tư hoặc thông tin đăng nhập.
Một trường hợp nổi bật liên quan đến tiện ích mở rộng Osiris, nơi kẻ tấn công đã chiếm đoạt tài khoản Chrome Web Store của một nhà phát triển hợp pháp thông qua một lỗ hổng OAuth dựa trên lừa đảo, đẩy một bản cập nhật độc hại lén lút đến hơn 2,6 triệu người dùng.
Tình hình lừa đảo qua LinkedIn và các cuộc tấn công xã hội
Vào năm 2025, lừa đảo qua LinkedIn đã gia tăng khi kẻ tấn công giả danh các startup blockchain để lừa kỹ sư tải xuống phần mềm độc hại ngụy trang dưới dạng các bài kiểm tra kỹ thuật. Những kẻ lừa đảo đã chia sẻ các tài liệu dự án trông chuyên nghiệp và tài liệu thiết kế, cuối cùng gửi nạn nhân đến các kho chứa chứa các tải trọng độc hại được mã hóa nặng.
Khi được thực thi, các cửa hậu này đánh cắp thông tin máy chủ, thông tin đăng nhập, khóa riêng SSH và dữ liệu Keychain của hệ thống.
Các vụ lừa đảo kỹ thuật xã hội đã gia tăng vào đầu năm 2025, với trường hợp nổi bật nhất liên quan đến Coinbase. Trong sự cố này, kẻ tấn công đã hối lộ nhân viên hỗ trợ khách hàng ở nước ngoài để rò rỉ dữ liệu người dùng, sau đó giả mạo các đại diện của Coinbase bằng cách sử dụng số điện thoại giả mạo và tin nhắn lừa đảo để lừa nạn nhân chuyển tiền đến các ví do kẻ lừa đảo kiểm soát.
Theo SlowMist, những cuộc tấn công phối hợp như vậy đã dẫn đến thiệt hại tổng cộng hơn 100 triệu USD cho người dùng.
Nguy cơ từ các gói npm độc hại
Các nhà phát triển tìm kiếm “quyền truy cập không giới hạn vào các mô hình AI tiên tiến” thông qua các kênh không chính thức có nguy cơ cài đặt các gói npm độc hại có thể can thiệp sâu vào các ứng dụng địa phương. SlowMist đã chỉ ra một trường hợp mà một startup đã mất hàng trăm nghìn USD do mã độc được tạo ra bởi một công cụ như vậy, đã cài đặt các cửa hậu thông qua các gói npm.
Hơn 4.200 nhà phát triển, chủ yếu trên macOS, đã bị ảnh hưởng, cho phép kẻ tấn công kiểm soát từ xa và đánh cắp thông tin đăng nhập.
Những mối đe dọa từ AI
Báo cáo của SlowMist đã nêu bật một số LLM đã bị “bẻ khóa” để vượt qua các hạn chế đạo đức của các phiên bản gốc của chúng. WormGPT chuyên tạo nội dung liên quan đến phần mềm độc hại và email lừa đảo, trong khi FraudGPT có thể sản xuất tài liệu dự án crypto giả và sao chép các trang lừa đảo. DarkBERT, được đào tạo trên dữ liệu dark web, cho phép các chiến dịch kỹ thuật xã hội nhắm mục tiêu cao. GhostGPT có thể tạo ra các vụ lừa đảo deepfake giả mạo các giám đốc điều hành sàn giao dịch, cùng với nhiều ứng dụng độc hại khác.
